微步在线李秋石：网络安全攻防战重在“知彼”

“微步在线提供的价值是‘知彼’的能力，这是我们和传统安全产品最大的差异。”近日，微步在线联合创始人李秋石在接受环球网科技记者采访时表示，源于微步在线具有的云化可信安全能力，实在赋能给客户，即“我们不是靠客户的能力去壮大自己，而是把这个能力去赋能给客户，让客户具备‘知彼’的能力。”

微步在线联合创始人 李秋石

资料显示，微步在线成立于2015年7月，提供威胁检测产品与服务，Gartner《2019全球威胁情报市场指南》唯一入选的中国厂商，公司成员主要来自于亚马逊、微软、BAT、美团等公司。微步在线从成立初便致力于成为企业客户的威胁发现和响应专家，目前，经过前期在威胁分析能力领域的积累，已将情报数据能力和分析能力以专业检测设备/情报管理产品的方式赋能给客户，帮助客户落地威胁发现能力、建立全方位的威胁发现和响应体系。

何谓“知彼”

众所周知，所谓“知己知彼，百战不殆”，即如果对敌我双方的情况都能了解透彻，打起仗来就可以立于不败之地。当下，随着企业纷纷上云，进行数字化转型，面临的安全挑战也更加复杂多变，从被动防御走到主动防御是必然趋势。那么，在企业主动防御机制中，“知彼”显然被提到一个关键的位置，企业需要通过情报主动发现各类威胁，其流程包括发现、理解情报等，并将情报用于安全监控的措施中。

而威胁情报就是指通过一系列安全相关的信息，还原已发生的攻击和预测未发生的攻击，为公司提供安全机制、指标，以及可指导行动的建议，核心在于是“可指导行动的建议”而不是简单的信息。

李秋石告诉记者，“和传统安全产品最大的差异在于，传统产品其实是基于客户自身的信息来做一些技术防御，但微步在线会告诉客户，（这个威胁）具体是谁盯上你的？谁对你进行了针对性攻击？攻击的结果是什么？攻击背后的（技术）防御弱点在哪？相关的技术证据有哪些？产品的思路是以在云端建立的一套威胁图谱为基础，它叫做‘微步安全云’。”

“更为关键的是，凭借对威胁情报的专注以及‘告警’的精准度，微步在线具备对‘告警’前后文的分析能力，然后还能提供SaaS化的统一威胁防护，并实现响应和处置的闭环。”他进一步解释称，“特别是关键基础设施领域的客户，是需要知道威胁的具体来源、原因、影响以及应急处理方案。好比发现一只蟑螂，我们肯定要把这一窝蟑螂都揪出来，那么我们是能够对网络威胁进行阻断、响应和处置的，这就是我们的能力和价值所在。”

从情报来源方面，李秋石对环球网科技记者表示，“其实，我们是把全世界的网络基础数据（完全开放）做全量的关联分析和拓扑，也就是说，在互联网进行基础访问的时候，所必须进行公示建立连接的这些信息。然后，我们用这些基础的网络层面的数据去进行高级的潜在威胁的发现，就好比从空气中分析出可能流行的传染疫情，从而用这种能力来产出高价值的商业情报，通过具体的产品向客户赋能。”

如何“赋能”

据了解，微步在线从云出发，逐渐覆盖到云+本地一体化的威胁安全产品。微步在线推出威胁情报相关的SaaS产品，从情报API、威胁检测平台（TDP）、威胁情报管理平台（TIP）到攻击感知平台（TDPS）。以微步情报API为例，微步在线可以通过API方式接入企业本身的安全基础设施，如SIEM、SOC等日志大数据平台和WAF等安全设施，从而通过实时调用API接口来提供威胁情报。TDP、TIP、TDPS等平台则是可以利用威胁情报，让企业完成威胁监测、响应、分析等一系列流程。

进一步地，微步在线将威胁检测平台（TDP）升级为全流量威胁感知平台，为云端+本地软硬件一体化产品，基于对网络流量的实时分析检测，发现内网威胁事件，精准定位已失陷主机，即对于尚未建立大数据平台等基础安全设施的企业，TDP提供威胁上下文和联动的终端处理硬件，从而深入到前端，完成大流量数据收集和监测环节，功能更加全面，适配更多场景。

另外，2019年，微步在线又推出OneDNS ® Cloud，这是一个纯SaaS产品。OneDNS ® Cloud拥有全国各地的递归加速节点，可以实时拦截网络设备与恶意地址间的通信，避免后续攻击行动的发生，适配各类IT架构。安全管理团队可以在OneDNS ® Cloud控制台灵活配置策略，进行内容访问控制和上网行为管理，让多地办公的企业获得统一的云安全防护。DNS防火墙则是提供威胁情报数据和分析能力，能提供实时威胁阻断机制和可视化实时监控报表，指导威胁事件评估和响应。

据悉，截至目前，微步在线已经在金融、互联网、能源等领域积累了不少头部客户，微步服务的主要是对信息化和网络安全比较重视的头部企业客户，包括10大银行中的8家、10大证券公司中的8家、5大互联网公司中的4家、5大智能手机中的4家、10大能源企业中的5家。

近日，微步在线宣布已于2019年7月完成亿元级C轮融资，由星路资本和高瓴资本联合领投。薛锋透露，融资将主要用于技术研发、产品打磨和营销体系的进一步建立。

共享“坏人”情报

根据全球市场研究与咨询公司Marketsandmarket的数据预测，到2022年，全球威胁情报市场将达到89.4亿美元。在中国，随着企业市场对威胁情报认知度的提升和提供商相关技术和产品的不断成熟，威胁情报领域将大有可为。

对此，微步在线管理层还呼吁，各行各业应该共享“坏人”数据，避免不同公司被同一伙黑客袭击，应第一时间共享信息，让“坏人”无处躲藏。

李秋石指出，“当我们发现一个团伙尝试对哪家机构进行攻击的时候，其实应该立刻把团伙信息同步给其他机构，这有助于提高整个行业对攻击防御能力。我们与国外差距的关键所在，正是这种共享的理念意识。”

值得关注的是，今年，微步在线在“2019网络安全分析与情报大会”现场向社会发起了1000万情报奖励计划，拿出1000万奖金推出情报共享计划，鼓励行业共享“坏人”信息。